聊一聊cookie ,session

tips:接下去會(huì)在github寫博客,簡(jiǎn)書不再更新和修改文章屎暇,歡迎大家逛逛我的新博客點(diǎn)擊查看 承桥,我會(huì)盡量用更容易理解的方式寫好每一篇博客,大家一起學(xué)習(xí)交流??。

cookie

cookie是指Web瀏覽器存儲(chǔ)的少址數(shù)據(jù)根悼。
Cookie支持跨域名訪問(wèn)凶异,例如將domain屬性設(shè)置為“.biaodianfu.com”,則以“.biaodianfu.com”為后綴的一切域名均能夠訪問(wèn)該Cookie挤巡∈1颍跨域名Cookie如今被普遍用在網(wǎng)絡(luò)中,例如Google矿卑、Baidu喉恋、Sina等。

瀏覽器使用

cookie可以使用 js 在瀏覽器直接設(shè)置(用于記錄不敏感信息,如用戶名)

大小和數(shù)量會(huì)有限制

如果沒(méi)有設(shè)置有效期轻黑,那就是會(huì)話儲(chǔ)存糊肤,關(guān)了瀏覽器就沒(méi)了。

盡管瀏覽器對(duì)cookie做了大小限制氓鄙,不過(guò)最好還是盡可能在coki中少存儲(chǔ)信息馆揉,以免避免影響性能。

前后端協(xié)同使用

cookie數(shù)據(jù)會(huì)自動(dòng)在Web瀏覽器和Web服務(wù)器之間傳輸,在服務(wù)端通使用 HTTP 協(xié)議規(guī)定的 set-cookie 來(lái)讓瀏覽器種下cookie,每次網(wǎng)絡(luò)請(qǐng)求 Request headers 中都會(huì)帶上cookie寝贡。所以如果 cookie 太多太大對(duì)傳輸效率會(huì)有影響模聋。

因此服務(wù)端腳本就可以 讀、 寫存儲(chǔ)在客戶端的 cookie的值。

前后端協(xié)同使用流程

前后端cookie
Response headers
服務(wù)器響應(yīng)頭
Set-Cookie 字段的屬性
Set-Cookie 字段的屬性
Request headers
客戶端請(qǐng)求頭

使用場(chǎng)景

1.自動(dòng)填寫用戶名。比如你某次登陸過(guò)一個(gè)網(wǎng)站,下次登錄的時(shí)候不想再次輸入賬號(hào)了巢墅,怎么辦?這個(gè)信息可以寫到Cookie里面券膀,訪問(wèn)網(wǎng)站的時(shí)候君纫,網(wǎng)站頁(yè)面的腳本可以讀取這個(gè)信息,就自動(dòng)幫你把用戶名給填了芹彬,能夠方便一下用戶蓄髓。

2.自動(dòng)登錄。Cookie是瀏覽器保存信息的一種方式舒帮,可以理解為一個(gè)文件会喝,保存到客戶端了啊,服務(wù)器可以通過(guò)響應(yīng)瀏覽器的set-cookie的標(biāo)頭玩郊,得到Cookie的信息肢执。你可以給這個(gè)文件設(shè)置一個(gè)期限,這個(gè)期限呢译红,不會(huì)因?yàn)闉g覽器的關(guān)閉而消失啊预茄。

session

session 是一種基于cookie的讓服務(wù)器能識(shí)別某個(gè)用戶的「機(jī)制」,當(dāng)然也可以特指服務(wù)器存儲(chǔ)的 session數(shù)據(jù)侦厚。
Session不會(huì)支持跨域名訪問(wèn)耻陕,僅在他所在的域名內(nèi)有效。

使用場(chǎng)景舉例:購(gòu)物

當(dāng)一個(gè)用戶打開(kāi)淘寶登錄后刨沦,刷新瀏覽器仍然展示登錄狀態(tài)诗宣。然后把購(gòu)物車的東西下單支付了。

刷新的時(shí)候服務(wù)器如何分辨這次發(fā)起請(qǐng)求的用戶是剛才登錄過(guò)的用戶呢想诅?下單的時(shí)候又怎么知道是哪個(gè)用戶下單的呢召庞?

鑒于 HTTP 是無(wú)狀態(tài)協(xié)議岛心,之前已認(rèn)證成功的用戶狀態(tài)無(wú)法通過(guò)協(xié) 議層面保存下來(lái)。即篮灼,無(wú)法實(shí)現(xiàn)狀態(tài)管理鹉梨,因此即使當(dāng)該用戶下一次 繼續(xù)訪問(wèn),也無(wú)法區(qū)分他與其他的用戶穿稳。

于是我們會(huì)使用 Cookie 來(lái) 管理 Session,以彌補(bǔ) HTTP 協(xié)議中不存在的狀態(tài)管理功能晌坤。

cookie and session

1.用戶在輸入用戶名密碼提交給服務(wù)端逢艘,服務(wù)端驗(yàn)證通過(guò)后會(huì)創(chuàng)建一個(gè)session用于記錄用戶的相關(guān)信息的對(duì)象,這個(gè)session對(duì)象中放有生成的sessionid骤菠,也可以放一些非機(jī)密的userinfo它改。session對(duì)象可保存在服務(wù)器內(nèi)存中(容易產(chǎn)生內(nèi)存泄露),生產(chǎn)環(huán)境一般是保存在數(shù)據(jù)庫(kù)中商乎。

存在數(shù)據(jù)庫(kù)的session

上圖為使用koa-session-minimal 后存在數(shù)據(jù)庫(kù)的session store

2.創(chuàng)建session后央拖,會(huì)把關(guān)聯(lián)的session_id 通過(guò)setCookie 添加到http響應(yīng)頭部中。
瀏覽器在加載頁(yè)面時(shí)發(fā)現(xiàn)響應(yīng)頭部有 set-cookie字段鹉戚,就把這個(gè)cookie 種到瀏覽器指定域名下

3.客戶端接收到從服務(wù)器端發(fā)來(lái)的 Session ID 后鲜戒,會(huì)將其作為 Cookie 保存在本地。之后你發(fā)起刷新或者下單的請(qǐng)求時(shí)抹凳,瀏覽器會(huì)自動(dòng)發(fā)送被種下sessionid的cookie遏餐,后端接受后去存session的地方根據(jù)sessionid查找是否有此session(有既證明處于登錄狀態(tài)的真實(shí)用戶,否則拒絕此次請(qǐng)求)赢底,如果有失都,還可以讀取登錄時(shí)放的userinfo,獲取用戶身份(user_id)幸冻。

koa-session-minimal相關(guān)源碼

需要注意

1.如果 Session ID 被第三方盜走粹庞,對(duì)方就可以偽裝成你的身份進(jìn) 行惡意操作了。因此必須防止 Session ID 被盜洽损,或被猜出庞溜。為了做到 這點(diǎn),Session ID 應(yīng)使用難以推測(cè)的字符串趁啸,且服務(wù)器端也需要進(jìn)行 有效期的管理(即使不幸被盜强缘,之后也因有效期已過(guò)而失效),保證其安全性不傅。

2.另外旅掂,為減輕跨站腳本攻擊(XSS)造成的損失,建議事先在 Cookie 內(nèi)加上 httponly 屬性访娶。

3.如果客戶端的瀏覽器禁用了 Cookie 怎么辦商虐?一般這種情況下,會(huì)使用一種叫做URL重寫的技術(shù)來(lái)進(jìn)行會(huì)話跟蹤,即每次HTTP交互秘车,URL后面都會(huì)被附加上一個(gè)諸如 sid=xxxxx 這樣的參數(shù)典勇,服務(wù)端據(jù)此來(lái)識(shí)別用戶。

cookie + session 方式的局限性

  • 是存儲(chǔ)式的有狀態(tài)驗(yàn)證,由于一定時(shí)間內(nèi)它是保存在服務(wù)器上的叮趴,當(dāng)訪問(wèn)增多時(shí)割笙,會(huì)較大地占用服務(wù)器的性能。

  • 如果web服務(wù)器做了負(fù)載均衡眯亦,那么下一個(gè)操作請(qǐng)求到了另一臺(tái)服務(wù)器的時(shí)候session會(huì)丟失伤溉。

  • 有安全隱患:CSRF 。因?yàn)槭腔赾ookie來(lái)進(jìn)行用戶識(shí)別的, cookie如果被截獲妻率,用戶就會(huì)很容易受到跨站請(qǐng)求偽造的攻擊乱顾。
    淺談CSRF攻擊方式

參考閱讀&&鳴謝:

Cookie 與 Session 的區(qū)別
session 、cookie宫静、token的區(qū)別

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末走净,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子孤里,更是在濱河造成了極大的恐慌伏伯,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件扭粱,死亡現(xiàn)場(chǎng)離奇詭異舵鳞,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)琢蛤,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門蜓堕,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人博其,你說(shuō)我怎么就攤上這事套才。” “怎么了慕淡?”我有些...
    開(kāi)封第一講書人閱讀 157,354評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵背伴,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我峰髓,道長(zhǎng)傻寂,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書人閱讀 56,498評(píng)論 1 284
  • 正文 為了忘掉前任携兵,我火速辦了婚禮疾掰,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘徐紧。我一直安慰自己静檬,他們只是感情好炭懊,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評(píng)論 6 386
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著拂檩,像睡著了一般侮腹。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上稻励,一...
    開(kāi)封第一講書人閱讀 49,829評(píng)論 1 290
  • 那天父阻,我揣著相機(jī)與錄音,去河邊找鬼望抽。 笑死至非,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的糠聪。 我是一名探鬼主播,決...
    沈念sama閱讀 38,979評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼谐鼎,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼舰蟆!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起狸棍,我...
    開(kāi)封第一講書人閱讀 37,722評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤身害,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后草戈,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體塌鸯,經(jīng)...
    沈念sama閱讀 44,189評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評(píng)論 2 327
  • 正文 我和宋清朗相戀三年唐片,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了丙猬。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,654評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡费韭,死狀恐怖茧球,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情星持,我是刑警寧澤抢埋,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布,位于F島的核電站督暂,受9級(jí)特大地震影響揪垄,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜逻翁,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評(píng)論 3 313
  • 文/蒙蒙 一饥努、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧卢未,春花似錦肪凛、人聲如沸堰汉。這莊子的主人今日做“春日...
    開(kāi)封第一講書人閱讀 30,762評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)翘鸭。三九已至,卻和暖如春戳葵,著一層夾襖步出監(jiān)牢的瞬間就乓,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書人閱讀 31,993評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工拱烁, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留生蚁,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,382評(píng)論 2 360
  • 正文 我出身青樓戏自,卻偏偏與公主長(zhǎng)得像邦投,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子擅笔,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容

  • 經(jīng)常忘記Cookie猛们、Session和Token念脯,那么今天就來(lái)記錄一下它們,聊一聊弯淘。 1.Cookie绿店、Sessi...
    浪浪許閱讀 862評(píng)論 0 0
  • 背景在HTTP協(xié)議的定義中,采用了一種機(jī)制來(lái)記錄客戶端和服務(wù)器端交互的信息庐橙,這種機(jī)制被稱為cookie假勿,cooki...
    時(shí)芥藍(lán)閱讀 2,357評(píng)論 1 17
  • 仿佛昨天 爺爺一板一眼地 講著風(fēng)趣的方言笑話 奶奶用棉籽油 給我炒一碗油鹽飯 父親心疼的給我一巴掌 過(guò)后語(yǔ)重心長(zhǎng)的...
    一了0820閱讀 588評(píng)論 5 9
  • 在簡(jiǎn)書上看到很多大神废登,比如彭小六,每天看一本書郁惜,這種學(xué)習(xí)速度超光速堡距,而我一周看一本就不錯(cuò)了,有些看不懂的兆蕉,還得看兩...
    錢多多的時(shí)空站閱讀 12,425評(píng)論 0 6
  • 七樓的風(fēng)景羽戒,漸晚的夜,黛色的山虎韵,微涼的風(fēng)易稠。。包蓝。驶社。企量。 有淡淡的落寞與惆悵。許多心事亡电,欲說(shuō)還休届巩,萬(wàn)千思緒,卻一如這塊貧...
    smmrcn閱讀 356評(píng)論 0 0